Abo
  • Services:

Malware: Derusbi umgeht trickreich die Windows Driver Signing Policy

Sicherheitsforscher haben neue Details zu der seit mehreren Jahren aktiven Derusbi-Malware veröffentlicht. Die Malware nutzt Schwachstellen in Treibern aus, um sich unentdeckt auf dem System zu installieren.

Artikel veröffentlicht am , Tim Philipp Schäfers
Derusbi setzt die Driver Signing Policy von Windows außer Kraft.
Derusbi setzt die Driver Signing Policy von Windows außer Kraft. (Bild: Sekoia)

Die aus verschiedenen Hacks bekannte Malware Derusbi nutzt eine Schwachstelle in einigen Treibern aus, um die Driver Signing Policy des Betriebssystems Windows außer Gefecht zu setzen - das hat die Sicherheitsfirma Sekoia herausgefunden.

Stellenmarkt
  1. united-domains AG, Starnberg bei München
  2. Deutsche Post DHL Group, Troisdorf

Derusbi ist keine unbekannte Malware. Bereits im Jahr 2008 wurde die Schadsoftware entdeckt. In den vergangenen Jahren tauchte auch vermehrt verwandte Schadsoftware auf. 2011 wurde Derusbi beispielsweise bei einem Hack auf Mitsubishi Heavy Industries eingesetzt. Auch bei dem sogenannten Anthem Hack in diesem Jahr, bei dem rund 79 Millionen Datensätze von Versicherten kopiert wurden, kam sie zum Einsatz.

Die Funktionsweise ist typisch für ausgereifte Malware und Trojaner: Nachdem ein sogenannter Loader ausgeführt wurde, vermutlich mittels Phishing oder Drive-By-Download, wird Derusbi auf das anzugreifende Zielsystem nachgeladen und erweitert die notwendigen Rechte, um einen Angriff vorzunehmen. So können die Systeme so manipuliert werden, dass der eigentliche Angriff erfolgreicher verläuft. Noch dazu wird es Antivirensystemen schwerer gemacht, die eigentliche Schadsoftware auszumachen.

Eine Schwachstelle in alten Treibern ermöglicht den Angriff

Die Experten der französischen Sicherheitsfirma Sekoia haben nun herausgefunden, wie genau es der Schadsoftware gelingt, sich auf dem Zielsystem als legitim auszugeben und warum sie nur schwer durch gängige Abwehrmechanismen gestoppt werden kann. Die Entwickler von Derusbi nutzen eine Schwachstelle (CVE-2013-3956) in veralteten Treibern, um eine Manipulation von Speicheradressinhalten vorzunehmen. Damit gelingt es ihnen, die sogenannte Driver Signing Policy auszutricksen.

Diese Policy dient seit Windows Vista dazu, dass nur signierte und damit von vertrauenswürdigen Herstellern erstellte Treiber geladen werden können. Dieser Mechanismus soll also sicherstellen, dass keine Rootkits installiert werden können. Die Driver Signing Policy lässt sich zwar manuell komplett ausschalten, doch dann befindet sich der Windows-PC im Testmodus, was mit dem Wasserzeichen "Testmodus" in der rechten unteren Ecke des Bildschirmes deutlich gemacht wird - also ein äußerst auffälliges Vorgehen für eine Schadsoftware, die im Verborgenen bleiben möchte.

Driver Signing Policy wird unsichtbar deaktiviert

Laut Sekoia nutzt Derusbi einen neuen Weg, um die Driver Signing Policy zu umgehen. In dem untersuchten Fall werden drei signierte Treiber der Firma Novell geladen, die gegenüber der genannten Schwachstelle anfällig sind, so dass die Speicheradressinhalte manipuliert werden können. Das Besondere an dem Vorgehen ist, dass die Driver Signing Policy durch die Manipulation nicht unmittelbar deaktiviert, sondern letztlich nur der innere Mechanismus zur Überprüfung außer Gefecht gesetzt wird. Die Richtlinie bleibt erhalten, wird aber faktisch wirkungslos. Somit bemerkt weder der Nutzer noch das Betriebssystem oder die Antivirensoftware, dass die Driver Signing Policy nicht so arbeitet wie eigentlich angedacht. Sind diese Vorbereitungen von Derusbi getroffen, wird weitere Schadsoftware platziert und ausgeführt, und der Angriff nimmt seinen Lauf.

Die Experten von Fortinet kamen bereits in früheren Untersuchungen zu dem Ergebnis, dass Derusbi sehr modular ist und von den Entwicklern ein mehrstufiger Ansatz gewählt wurde. Zudem wird die Schadsoftware nur auf bestimmte Ziele angesetzt. Die neuen Erkenntnisse stützen diese Thesen und zeigen, wie zielgenau die Entwickler Schwachstellen zu nutzen wissen, um letztlich Zugriff auf Zielsysteme zu erlangen.

Sowohl die lange Historie der Malware als auch die trickreichen Vorgehensweisen zeigen, dass die Entwickler eine ganze Reihe an Möglichkeiten (und Exploits) haben, um Zielsysteme zu befallen. Es ist anzunehmen, dass das ermittelte Vorgehen zum Befall nur eines von vielen ist und es sich bei Derusbi um einen Baustein einer ganzen Schadsoftware-Suite handelt. Die Entwickler scheinen ein sehr großes Insiderwissen über den Windows-Kernel zu haben und noch dazu ausreichende Ressourcen, um gezielte Angriffe vornehmen zu können. Möglich also, dass es sich um einen Geheimdienst oder eine Organisation mit ähnlich großen Ressourcen handelt.



Anzeige
Hardware-Angebote
  1. bei Alternate kaufen
  2. und The Crew 2 gratis erhalten
  3. und 25€ Steam-Gutschein erhalten
  4. täglich neue Deals bei Alternate.de

Schiwi 10. Dez 2015

Trotzdem beunruhigend dass die Malware Hersteller wohl über große Ressourcen und offenbar...

multivac 08. Dez 2015

zu 1.) Beginning with the release of Windows 10, all new Windows 10 kernel mode drivers...


Folgen Sie uns
       


Nokia 3 und 5 (2018) - Hands on

HMD Global hat die Nachfolger des Nokia 3 und Nokia 5 vorgestellt. Beide Smartphones haben ein Display im 2:1-Format und laufen mit Android One. Das Nokia 3.1 soll Ende Juni 2018 erscheinen, das Nokia 5.1 soll im Juli 2018 folgen.

Nokia 3 und 5 (2018) - Hands on Video aufrufen
Gemini PDA im Test: 2004 ist nicht 2018
Gemini PDA im Test
2004 ist nicht 2018

Knapp über ein Jahr nach der erfolgreichen Finanzierung hat das Startup Planet Computers mit der Auslieferung seines Gemini PDA begonnen. Die Tastatur ist gewöhnungsbedürftig, längere Texte lassen sich aber mit Geduld durchaus damit tippen. Die Frage ist: Brauchen wir heute noch einen PDA?
Ein Test von Tobias Költzsch und Sebastian Grüner

  1. Atom Wasserfestes Mini-Smartphone binnen einer Minute finanziert
  2. Librem 5 Freies Linux-Smartphone wird größer und kantig
  3. Smartphone-Verkäufe Xiaomi erobert Platz vier hinter Huawei, Apple und Samsung

Sony: Ein Kuss und viele Tode
Sony
Ein Kuss und viele Tode

E3 2018 Mit einem zärtlichen Moment in The Last of Us 2 hat Sony sein Media Briefing eröffnet - danach gab es teils blutrünstiges Gameplay plus Rätselraten um Death Stranding von Hideo Kojima.
Ein Bericht von Peter Steinlechner

  1. Smach Z ausprobiert Neuer Blick auf das Handheld für PC-Spieler
  2. The Division 2 angespielt Action rund um Air Force One
  3. Ghost of Tsushima Dynamischer Match im offenen Japan

3D-Druck on Demand: Wenn der Baumarkt Actionfiguren aus Stahl druckt
3D-Druck on Demand
Wenn der Baumarkt Actionfiguren aus Stahl druckt

Es gibt viele Anbieter für 3D-Druck on Demand und die Preise fallen. Golem.de hat die 3D-Druckdienste von Toom, Conrad Electronic, Sculpteo und Media Markt getestet, um neue Figuren der Big-Jim-Reihe zu erschaffen.
Ein Praxistest von Achim Sawall


      •  /